Упасть, чтобы подняться

Упасть, чтобы подняться

"CISO – это тренер, который должен заставлять делать всё правильно"

Приведу такую аналогию. Допустим, инструктор учит очередного, крутого руководителя компании (далее для простоты - босс) кататься на горных лыжах и объясняет, как правильно сгибать ноги, наклоняться вперед и т.д. (точно так же ИБ объясняет бизнесу, какие риски несут современные технологии). При этом инструктор не устаёт напоминать, что катание на горных лыжах - это небезопасно и всё должно быть постепенно, иначе можно сломать шею.

Босс после обучения начинает худо-бедно кататься на простых трассах (в терминологии ИБ: применять небезопасные технологии в бизнес-процессах компании). Оказывается, всё просто и босс постепенно начинает повышать уровень трассы - ему не хочется сломать шею, но ему - человеку, любящему риск - не хватает драйва (в терминологии ИБ: бизнес идет на риск ради получения прибыли).

Теперь зададимся вопросом: окупилось ли обучение босса у инструктора?
  • Если босс физически был готов к нагрузкам, вел себя адекватно и ничего страшного не случилось, то окупилось.
  • Если босс ломает себе нетренированные ноги, то он считает, что зря потратил деньги на обучение и в голове у него, как у любого главы компании, зреет причинно-следственная связь: я пострадал, потому что инструктор был никудышный.

Вместо: я пострадал, потому что не следовал советам инструктора.

Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)